本发明专利技术公开了一种用于将远程站从具有增强型安全性上下文的当前服务网络节点转移到新的服务网络节点的方法。在该方法中,远程站提供至少一个旧式密钥,并基于与增强型安全性上下文相关联的信息元素来生成至少一个会话密钥。远程站向该新的服务网络节点转发带有该信息元素的第一消息。远程站从该新的服务网络节点接收带有或基于旧式密钥或基于会话密钥的响应的第二消息。如果第二消息的响应是基于旧式密钥的,那么远程站确定该新的服务网络节点不支持增强型安全性上下文。相应地,一旦确定增强型安全性上下文不被支持,远程站就基于旧式密钥来保护通信。
【技术实现步骤摘要】
【国外来华专利技术】背景相关申请的交叉引用本申请要求2010年4月16日提交的美国临时申请No. 61/324,991的权益,该申请通过援引纳入于此。领域本专利技术一般涉及在通用移动电信业务(UMTS)、GSM EDGE无线电接入网(GERAN)、和/或长期演进(LTE)或演进型UTRAN (E-UTRAN)中工作的用户装备的增强型安全性上下文。 背景LTE第四代(4G)网络或UMTS第三代(3G)无线电接入网中或使用3GAKA (认证和密钥协定)认证的GERAN网络中成功的AKA认证导致用于保护用户装备(UE)与网络之间的通信的一对共享密钥,即密码密钥(CK)和完整性密钥(IK)。这些共享密钥可以如在UTRAN(UMTS地面无线电接入网)情形中那样直接被用来保护UE与网络之间的话务,或者可被用来静态地推导密钥,例如E-UTRAN情形中的Kasme或从Kasme推导的密钥以及GERAN(GSM EDGE无线电接入网)情形中的Kc或Kci28。泄密的密钥可能导致严重的安全性问题,直至这些密钥在下一次AKA认证时被改变。典型情况下,由于所需要的大量开销,因而AKA认证并不经常运行。另外,如果两个密钥(CK和IK)均被泄密,那么在UE与服务无线电接入网之间使用的密钥也可能被泄密。在UMTS/HSPA (高速分组接入)部署中,无线电网络控制器(RNC)和B节点的功能性中的一些或全部可被折叠到一起成为网络边缘处的一个节点。RNC需要用于诸如用户面密码化和信令面密码化以及完整性保护之类的功能性的密钥。然而,RNC功能性可能被部署在曝露的位直中,诸如在UMTS晕微微蜂窝小区内的归属B节点中。相应地,部署在可能不安全的位置中的提供接入(包括物理接入)的RNC功能性可能允许这些密钥(即CK和IK)被泄密。会话密钥(CK和IK的修改版本)可被用来降低与曝露的RNC功能性相关联的安全性风险。在美国专利申请公开No. US 2007/0230707A1中公开了用于提供此类会话密钥的技术。遗憾的是,此类会话密钥的使用需要对服务网络进行升级修改。然而,网络运营商有可能以分阶段的方式来升级服务网络。因此,需要使远程站能与支持增强型安全性上下文的服务网络节点和与旧式服务网络节点进行互操作的技术。概述本专利技术的一方面可在于一种用于将远程站从具有第一安全性上下文的当前服务网络节点转移到新的服务网络节点的方法。在该方法中,远程站提供与第二安全性上下文相关联的至少一个旧式密钥,其中第一安全性上下文包括不受第二安全性上下文支持的安全性特性。远程站根据第一安全性上下文基于与第一安全性上下文相关联的信息元素来生成至少一个会话密钥。远程站向新的服务网络节点转发第一消息。该第一消息包括与第一安全性上下文相关联的该信息元素。远程站响应于该第一消息而从该新的服务网络节点接收第二消息。该第二消息具有或基于该至少一个旧式密钥或基于该至少一个会话密钥的响应。如果第二消息的响应是基于该至少一个旧式密钥的,那么远程站确定该新的服务网络节点不支持第一安全性上下文。相应地,一旦确定该新的服务网络节点不支持第一安全性上下文,远程站就基于该至少一个旧式密钥来保护通信。在本专利技术的更详细方面,信息元素可包括计数值。可以为会话更新该计数值。第一安全性上下文可以是增强型UMTS安全性上下文,而第二安全性上下文可以是旧式安全性上下文。第二消息可包括消息认证码(MAC),并且远程站可通过确定该MAC是使用该至少一个旧式密钥所演算出的方式来确定响应是基于该至少一个旧式密钥的。远程站可包括移动用户装备。本专利技术的另一方面可在于一种远程站,该远程站可包括用于提供与第二安全性上 下文相关联的至少一个旧式密钥的装置,其中当前服务网络节点的第一安全性上下文包括不受第二安全性上下文支持的安全性特性;用于根据第一安全性上下文基于与第一安全性上下文相关联的信息元素来生成至少一个会话密钥的装置;用于向新的服务网络节点转发第一消息的装置,其中该第一消息包括与第一安全性上下文相关联的信息元素信令;用于响应于第一消息而从该新的服务网络节点接收第二消息的装置,其中该第二消息具有或基于该至少一个旧式密钥或基于该至少一个会话密钥的响应;用于如果第二消息的响应是基于该至少一个旧式密钥的则确定该新的服务网络节点不支持第一安全性上下文的装置;以及用于一旦确定该新的服务网络节点不支持第一安全性上下文就基于该至少一个旧式密钥来保护通信的装置。本专利技术的另一方面可在于一种可包括处理器的远程站,该处理器被配置成提供与第二安全性上下文相关联的至少一个旧式密钥,其中当前服务网络节点的第一安全性上下文包括不受第二安全性上下文支持的安全性特性;根据第一安全性上下文基于与第一安全性上下文相关联的信息元素来生成至少一个会话密钥;向新的服务网络节点转发第一消息,其中该第一消息包括与第一安全性上下文相关联的信息元素;响应于第一消息而从该新的服务网络节点接收第二消息,其中该第二消息具有或基于该至少一个旧式密钥或基于该至少一个会话密钥的响应;如果第二消息的响应是基于该至少一个旧式密钥的,则确定该新的服务网络节点不支持第一安全性上下文;以及一旦确定该新的服务网络节点不支持第一安全性上下文,就基于该至少一个旧式密钥来保护通信。本专利技术的另一方面可在于一种包括计算机可读存储介质的计算机程序产品,该计算机可读存储介质包括用于使计算机提供与第二安全性上下文相关联的至少一个旧式密钥的代码,其中当前服务网络节点的第一安全性上下文包括不受第二安全性上下文支持的安全性特性;用于使计算机根据第一安全性上下文基于与第一安全性上下文相关联的信息元素来生成至少一个会话密钥的代码;用于使计算机向新的服务网络节点转发第一消息的代码,其中该第一消息包括与第一安全性上下文相关联的信息元素;用于使计算机响应于第一消息而从该新的服务网络节点接收第二消息的代码,其中该第二消息具有或基于该至少一个旧式密钥或基于该至少一个会话密钥的响应;用于如果第二消息的响应是基于该至少一个旧式密钥的则使计算机确定该新的服务网络节点不支持第一安全性上下文的代码;以及用于一旦确定该新的服务网络节点不支持第一安全性上下文就使计算机基于该至少一个旧式密钥来保护通信的代码。附图简述图I是无线通信系统的示例的框图。图2是根据UMTS/UTRAN架构的无线通信系统的示例的框图。图3是根据GERAN架构的无线通信系统的示例的框图。图4是用于将远程站从具有增强型安全性上下文的服务网络节点转移到新的服务网络节点的方法的流程图。图5是用于基于附连请求消息来建立远程站与服务网络之间的增强型安全性上 下文的方法的流程图。图6是用于基于服务请求消息从远程站与服务网络之间的增强型安全性上下文建立至少一个会话密钥的方法的流程图。图7是用于基于路由区域更新请求消息从远程站与服务网络之间的增强型安全性上下文建立至少一个会话密钥的方法的流程图。图8是包括处理器和存储器的计算机的框图。图9是根据E-UTRAN架构的无线通信系统的示例的框图。附图说明图10是用于将远程站从具有增强型安全性上下文的服务网络节点转移到新的服务网络节点的方法的流程图。详细描述措辞“示例性”在本文中用于表示“用作示例、实例或解说”。本文中描述为“示例性”的任何实施例不必被解释为优于或胜过本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.04.16 US 61/324,991;2011.04.11 US 13/084,3531.一种用于将远程站从具有第一安全性上下文的当前服务网络节点转移到新的服务网络节点的方法,包括 所述远程站提供与第二安全性上下文相关联的至少一个旧式密钥,其中所述第一安全性上下文包括不受所述第二安全性上下文支持的安全性特性; 所述远程站根据所述第一安全性上下文基于与所述第一安全性上下文相关联的信息元素来生成至少一个会话密钥; 所述远程站向所述新的服务网络节点转发第一消息,其中所述第一消息包括与所述第一安全性上下文相关联的所述信息元素; 所述远程站响应于所述第一消息而从所述新的服务网络节点接收第二消息,其中所述第二消息具有或基于所述至少一个旧式密钥或基于所述至少一个会话密钥的响应; 如果所述第二消息的所述响应是基于所述至少一个旧式密钥的,那么所述远程站确定所述新的服务网络节点不支持所述第一安全性上下文;以及 一旦确定所述新的服务网络节点不支持所述第一安全性上下文,所述远程站就基于所述至少一个旧式密钥来保护通信。2.如权利要求I所述的用于转移的方法,其特征在于,所述信息元素包括计数值。3.如权利要求2所述的用于转移的方法,其特征在于,所述计数值为会话而更新。4.如权利要求I所述的用于转移的方法,其特征在于,所述第一安全性上下文是增强型UMTS安全性上下文,并且所述第二安全性上下文是旧式安全性上下文。5.如权利要求I所述的用于转移的方法,其特征在于,所述远程站包括移动用户装备。6.如权利要求I所述的用于转移的方法,其特征在于,所述第二消息包括消息认证码(MAC),并且所述远程站通过确定所述MAC是使用所述至少一个旧式密钥所演算出的方式来确定所述响应是基于所述至少一个旧式密钥的。7.—种远程站,包括 用于提供与第二安全性上下文相关联的至少一个旧式密钥的装置,其中当前服务网络节点的第一安全性上下文包括不受所述第二安全性上下文支持的安全性特性; 用于根据所述第一安全性上下文基于与所述第一安全性上下文相关联的信息元素来生成至少一个会话密钥的装置; 用于向新的服务网络节点转发第一消息的装置,其中所述第一消息包括与所述第一安全性上下文相关联的所述信息元素; 用于响应于所述第一消息而从所述新的服务网络节点接收第二消息的装置,其中所述第二消息具有或基于所述至少一个旧式密钥或基于所述至少一个会话密钥的响应; 用于如果所述第二消息的所述响应是基于所述至少一个旧式密钥的则确定所述新的服务网络节点不支持所述第一安全性上下文的装置;以及 用于一旦确定所述新的服务网络节点不支持所述第一安全性上下文就基于所述至少一个旧式密钥来保护通信的装置。8.如权利要求7所述的远程站,其特征...
【专利技术属性】
技术研发人员:A·E·艾斯科特,A·帕拉尼格朗德,
申请(专利权)人:高通股份有限公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。